Kolejna krytyczna luka w IE załatana

Wczoraj, 30 marca około godziny 20 czasu CET w usłudze Windows Update w systemach operacyjnych z rodziny systemów Windows ma pojawić się poprawka eliminująca lukę opisaną w Microsoft Security Advisory 981374. Ma być to specjalna poprawka zabezpieczeń, wydawana poza harmonogramem.

Pozaplanowe wydanie poprawki jest sprawą najwyższej wagi, ponieważ luka w bibliotece iepeers.dll pozwala atakującemu na przejęcie pełnej kontroli nad komputerem z zainstalowanym Internet Explorerem w wersjach 6 oraz 7. Jest to trochę spóźniona poprawka zabezpieczeń, ponieważ dwóch tygodni w Sieci dostępny jest exploit, napisany przez znanego badacza Moszego Ben Abu i wymierzony w starsze wersje tej przeglądarki.

O luce było wiadomo już w pierwszym tygodniu marca, mimo tego Microsoftowi nie udało się rozwiązać problemu w ramach ostatnich biuletynów bezpieczeństwa. Izraelski specjalista wydał swojego exploita, traktując go jako sposób na wywarcie presji na firmę Steve’a Ballmera. W zeszłym tygodniu w Sieci pojawiła się nawet ulepszona wersja exploita biblioteki iepeers.dll.

Przeglądarka IE 8 także padła ofiarą sprytnego ataku podczas konkursu Pwn2Own. Microsoft wtedy poinformował, że przygotowywana poprawka eliminuje podatność także w Internet Explorerze 8 działającym głównie pod kontrolą Windows 7.

Czyżby zatem najnowszy biuletyn bezpieczeństwa usuwał także i wykorzystaną w tym konkursie lukę? Oby, ponieważ atak z tego konkursu wykorzystywany może być w atakach ludzi całkowicie niezwiązanych z konkursem hakerskim.

Microsoft w ostatnich miesiącach coraz częściej wydaje swoje poprawki poza harmonogramem, czyli “normalnym cyklem aktualizacji”. Wygląda na to, że gigant przystosował się już do warunków życia w Sieci, w którym sytuację bezpieczeństwa IT trzeba monitorować w czasie rzeczywistym, non-stop.